Scroll Top
Business man shaking hands over a signed contract
Partager l'article



*




Le règlement européen sur la protection des données (RGPD) adopté le 27 avril 2016 entrera en application dès le 25 mai 2018. Il renforce les droits des individus, mais surtout il responsabilise les acteurs traitant des données personnelles.

Le RGPD réserve un rôle particulier au sous-traitant en lui imposant des obligations spécifiques accompagnées d’une responsabilité en cas de manquements à ces dernières.

Le sous-traitant est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement (article 4).

De nouvelles obligations

L’article 28 du RGPD impose au responsable de traitement de conclure un contrat avec le sous-traitant afin de définir avec précision l’objet, la durée, la nature et la finalité du traitement, le type de données personnelles et les catégories de personnes concernées, les obligations et les droits du responsable de traitement.

Ce contrat doit prévoir plusieurs obligations pour le sous-traitant dont celles de garantir une sécurité suffisante des données personnelles traitées notamment en mettant en œuvre les mesures techniques et organisationnelles indispensables et en assurant la confidentialité et l’intégrité des données.

En cas de recours à un autre sous-traitant (dit « sous-traitant ultérieur ») par le sous-traitant, une autorisation écrite doit être expressément demandée au responsable de traitement.

Le sous-traitant doit également tenir un registre de toutes les opérations de traitement réalisées pour le compte du responsable du traitement.

La documentation et l’écrit constituent le cœur de la relation sous-traitant/responsable de traitement.

Privacy by Design & Privacy by Default

Le sous-traitant doit présenter au responsable de traitement les garanties nécessaires de conformité au RGPD en :

– Prévoyant, dès la conception, des solutions, produits ou services l’intégration des exigences de protection des données ;

– Prévoyant, par défaut, que seules les données à caractère personnel qui sont nécessaires au regard de la finalité du traitement sont traitées.

Ces garanties doivent être pensées, ciblées et appliquées par chaque sous-traitant.

Le sous-traitant : le bras droit du responsable de traitement

Le RGPD innove en assignant au sous-traitant un devoir de conseil, d’alerte et d’assistance vis-à-vis du responsable de traitement. Il doit notifier au responsable de traitement toute violation des règles en matière de protection des données, il doit l’aider à assurer l’exercice des droits des personnes concernées par le traitement, et de façon générale il doit l’assister dans le respect des mesures de sécurité, d’intégrité et de confidentialité des opérations de traitement.

Le sous-traitant devient le partenaire du responsable de traitement, le binôme devant alors s’accorder pour afficher une véritable sécurité, protection, transparence et traçabilité des données traitées.

Les sanctions sont désormais partagées, alors à vos avenants et à vos contrats !